现在很多公司租用阿里云的云平台服务,那么这些企业需要做等保测评吗?根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,网络运营者成为等级保护的责任主体。因此,阿里云的租户也是需要进行等级保护测评的。
阿里云采用的是“云上系统合规责任共担”机制,租户的云上系统等保合规由客户负责,阿里云负责的是云平台等保合规。那么对于阿里云的租户而言,如何帮助他们依据新的云等保要求,通过等保测评呢?
阿里云最早于2012年通过 ISO 27001 认证,并于2016年9月通过新的云计算安全等级保护三级测评。
按照新的云等保要求和监管部门的意见,在具体的云上应用等级保护合规和测评中,涉及阿里云平台侧的相关要求不再进行单独测评,可以直接引用阿里云平台的测评结论。
阿里云将提供以下材料,协助租户云上系统通过等保测评:
阿里云等保备案证明
阿里云测评报告封面及结论页
阿里云安全产品销售许可证(公安部)
目前,阿里云公共平台已完成等保三级认证,阿里金融云已完成等保四级安全认证。云上企业可以直接复用云平台的测评结果,范围包括物理和环境安全以及部分网络和通信安全、安全管理等,因此,企业通过等保测评的时间大大缩短。
因此,对于使用阿里云的租户企业,还是需要进行等保测评,但是可以减少一些关于阿里云已经参与测评的部分。而对于租户企业在阿里云平台上搭建的系统或者网站,还是需要进行等保测评的。
等保测评一般需要先进行定级认定,然后到当地公安部门进行定级备案,接着就是进行寻找合适的测评机构进行差距测评,需要整改的根据测评机构出整改清单进行整改后,进行复评通过后,测评机构会把测评报告提交给公安网监部门进行审核,审核通过就可以领取相关证书了。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。